驱动器蠕虫区分

-磁盘驱动器蠕虫病毒分析磁盘驱动器病毒爆发的发生磁盘驱动器病毒最早出现于2007年2月. lsass.exe和smss.exe文件在Windows系统目录中生成简述磁碟机病毒，并且系统时间已修改为在1980年，该病毒当时还没有针对下载者，它还存在许多错误. 入侵后，很容易造成蓝屏死机. 随后的变体逐渐吸收了AV终结器和机器狗的特性，并且逐渐增强了抵抗安全软件的能力. 病毒分析“磁盘驱动器”通过ARP病毒在局域网中迅速传播. 在感染了“ ARP病毒”的局域网中，除与系统静态绑定到MAC地址的计算机之外，其他系统下载的所有正常EXE程序文件都将变为磁盘驱动器病毒变种，并且变种文件名为“ setup”. ” “ exe”是RAR自解压格式的安装软件包. 运行后，它将在用户系统上安装“磁盘驱动器”变体. 病毒会损坏注册表，阻止用户进入“安全模式”并查看“隐藏的系统文件”简述磁碟机病毒，并实时检测和保护此修改后的病毒选项，并在恢复后立即重写. 注册表被破坏，使用户的注册表启动项无效，从而导致某些通过注册表启动项运行的安全软件无法启动和运行. 修改注册表，实现自动播放功能.

防止病毒体被重定向，并删除注册表中的IFEO过程映像劫持条目. 删除受组策略限制的注册表项. 通过搜索注册表，该病毒会直接强行删除安全软件的所有相关注册表项，从而使其无法开始监视. 使用进程守护程序技术将病毒“ lsass.exe”和“ smss.exe”进程主体与DLL组件相关联，以实现进程守护程序. 如果病毒文件被删除或关闭，它将立即再次生成. 病毒程序以系统级权限运行，并且某些进程使用进程保护技术. 病毒的自我保护和隐藏技术非常有用. DLL组件将被插入到系统中几乎所有要加载和运行的进程中（包括具有系统级权限的进程）. 使用关机写回技术，在关闭计算机时将病毒主体程序保存在[Startup]文件夹中，以实现启动后的自启动. 系统启动后，删除“启动”文件夹中的病毒体. 可以秘密地启动它，而不会被用户发现. 同时，为了避免反病毒软件的主动防御功能，病毒使用了反臀部监视技术，以使某些只能通过HIPS技术实现主动防御功能的反病毒软件失效. 该病毒具有自动升级功能，并具有自己的光纤访问升级服务器，即使在下载流量很大的情况下，也可以立即更新病毒体. 该病毒也是反向连接木马下载器. 下载列表配置文件位于黑客的远程服务器上. 黑客可以随时更新不同的病毒变种以下载并安装在受感染的计算机上.

病毒将下载20多种木马病毒程序，包括游戏黑客木马和ARP病毒. 该病毒还专门访问系统的“ boot.ini”和“主机”配置文件. 防止DOS级别删除病毒体，并使用hosts文件来阻止病毒的恶意域名地址. 使用控制台命令来设置病毒程序文件的访问权限. 使用“ ping”命令来检测当前计算机网络是否在后台连接，如果已连接，请使用系统“ IE浏览器”进程在后台与黑客服务器进程进行通信，这样就可以避免一些防火墙监控. 典型的磁盘驱动器损坏性能1.注册全局HOOK，扫描包含常用安全软件关键字的程序窗口，并发送大量消息，导致安全软件崩溃2.破坏文件夹选项，以便用户无法查看隐藏的文件安全模式下的值，以防止引导到安全模式. 4.创建驱动程序以保护自己. 驱动程序可以在开机后自行删除，并在关机后自动创建延迟的重启项目. 5.修改注册表以使组策略中的软件限制策略不可用. 6.继续扫描并删除安全软件的注册密钥值，以防止安全软件启动. 7.在每个磁盘上创建autorun.inf和pagefile.pif，并在双击磁盘或插入移动设备时使用自动运行功能进行传播. 8.删除注册表中的整个RUN条目及其子项，以防止安全软件自动加载. 9.释放多个病毒执行程序以完成更多任务. 10.通过重新启动和重命名来加载病毒，该注册表位于注册表HKEY_LOCAL_MACHINE \ SYSTEM中. \ ControlSet001 \ Control \ BackupRestore \ KeysNotToRestore下的字符串Pending RenameOperations.

11. 感染除system32目录之外的其他EXE文件（病毒感染行为不断发展，从感染其他分区到感染系统分区），最特别的是，病毒也将在感染EXE之后解压缩RAR文件，然后打包进入RAR. 12.下载大量木马以在本地运行. 用户的最终损坏情况取决于这些木马的行为. 病毒传播方式1. U盘/移动硬盘/数字存储卡传播2.各种木马下载器相互传播3.通过恶意网站下载4.通过受感染文件传播5.通过内部网络ARP攻击磁盘分发解决方案机器病毒是非常类似于AV终结器和机器狗. 从技术上讲，磁盘驱动器更耐破坏. 据了解，各种防病毒软件无法拦截磁盘驱动器的最新版本. 中毒后，防病毒软件的安装很有可能会失败. 因此，当前的解决方案是优先使用驱动器终止工具. 单击下载在某些没有任何防御措施的计算机上，驱动器杀手工具可能会在运行后立即删除. 根据调查，这种情况是由多种病毒混合引起的. 在这种极端情况下，我们可以尝试的防病毒解决方案是: 1.尝试将系统引导到安全模式或带命令行的安全模式（极有可能失败）特定方法: 在重新启动之前，COPY已从其他普通计算机升级到最新的防病毒软件只需复制整个安装目录即可.

以安全模式运行kav32.exe或从命令行运行kavdx. 如果病毒不是很BT，就有希望. 2.引导后WINPE急救CD防病毒软件（不容易获得Winpe，不是每个人都有，您可以在Internet上搜索它. ）WINPE启动后，运行kav32.exe或kavdx. 3.从磁盘上挂起防病毒软件（多台计算机），使用起来更容易，必须注意，从磁盘上挂起防病毒软件之前，普通计算机必须使用金山清理专家的U盘免疫功能关闭自动操作所有磁盘的功能，请避免使用双击访问权限

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-249805-1.html